Что такое локализовать данные
Что такое локализовать данные
Аналитика Публикации
Локализация персональных данных россиян для иностранных компаний
Что такое персональные данные?
Закон о персональных данных дает весьма широкое определение, согласно которому персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Что означат локализация?
Локализация применительно к персональным данным означает использование баз данных, находящихся на территории Российской Федерации.
Когда возникает обязанность локализовать базы данных?
Согласно ч. 5 ст. 18 Закона о персональных данных «при сборе персональных данных, в том-числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации». Из этого правила есть исключения, которые содержатся в ч. 1 ст. 6 Закона о персональных данных пунктах 2 (обработка для достижения целей, предусмотренных международным договором Российской Федерации, или для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей), 3 (обработка в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах), 4 (обработка при предоставлении государственных или муниципальных услуг) и 8 (обработка для осуществления профессиональной деятельности журналиста, законной деятельности СМИ, научной литературной творческой деятельности, если не нарушаются права и законные интересы субъекта персональных данных).
Таким образом, в соответствии с ч. 5 ст. 18 Закона о персональных данных обязанность локализовать базы данных возникает только в том случае (и при соблюдении остальных условий), если имеет место сбор персональных данных. Нет сбора – нет обязанности локализации.
Термин «сбор» не определен в Законе о персональных данных. Согласно разъяснениям (далее – Разъяснения(1) Министерства связи и массовых коммуникаций Российской Федерации под сбором следует понимать «целенаправленный процесс получения персональных данных оператором непосредственно от субъекта персональных данных либо через специально привлеченных для этого третьих лиц». Если персональные данные собрало иное лицо (например, работодатель), а в дальнейшем передало их для обработки иностранному лицу, у такого иностранного лица отсутствует обязанность локализовать базы данных, так как он не осуществлял сбор персональных данных.
Формулировка ч. 5 ст. 18 Закона о персональных данных говорит о сборе данных граждан РФ. При этом указанный Закон не поясняет, как должно определяться гражданство субъекта. Минкомсвязь России также предоставило данный вопрос оператору для самостоятельного решения. Вопрос определения гражданства рекомендуется отразить в документах оператора (например, в политике обработки персональных данных). Игнорирование данного вопроса, по мнению Минкомсвязи России, позволяет считать требование о локализации применимым ко всем персональным данным, сбор которых осуществлен на территории Российской Федерации.
Следует отметить, что даже согласие субъекта на обработку его персональных данных на зарубежных серверах не освобождает оператора от обязанности локализации. Такая позиция подтверждается Разъяснениями.
Распространяется ли требование локализации на иностранные компании?
Даже если иностранная компания ведет свою деятельность через Интернет без физического присутствия на территории России, на такую компанию могут распространяться требования локализации, если соблюден главный критерий – деятельность такой иностранной компании направлена на территорию РФ.
О направленности деятельности на территорию России, по мнению Минкомсвязи России, могут свидетельствовать:
– наличие русскоязычной версии интернет-сайта, созданной владельцем такого сайта или по его поручению иным лицом, за исключением функции автоматизированного переводчика, в сочетании со следующими условиями (одним их них):
а) возможность производить расчеты в российских рублях;
b) возможность доставки товара, оказания услуги или пользования цифровым контентом на территории России, а также иные случаи исполнения договора на территории Российской Федерации;
c) использование рекламы на русском языке, отсылающей к соответствующему интернет-сайту;
d) иные обстоятельства, явно свидетельствующие о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию.
Таким образом, если налицо факторы, свидетельствующие о направленности деятельности иностранной компании на территорию России, а иностранная компания через свой сайт осуществляет сбор персональных данных граждан Российской Федерации, такая иностранная компания обязана локализовать базы данных, содержащие персональные данные россиян (при условии неприменимости исключений, предусмотренных Законом о персональных данных и кратко обозначенных выше).
Отметим также, что если деятельность иностранной организации направлена на территорию России (в соответствии с указанными выше критериями), то к такой организации применимы не только требования локализации, но и иные требования Закона о персональных данных, в том числе требование о направлении уведомления в уполномоченный орган об обработке персональных данных, об издании документа, определяющего политику оператора в отношении обработки персональных данных, о назначении лица, ответственного за обработку персональных данных и т. д.
Ответственность за невыполнение локализации
Административные штрафы, предусмотренные указанными выше статьями, невелики по сравнению с европейскими штрафами. Так, максимальный штраф по ст. 13.11 КоАП РФ составляет всего 75 тыс. руб. (около 1100 евро на 01.09.2017). Кроме того, взыскать штраф с иностранной компании, не имеющей физического присутствия на территории Российской Федерации, весьма проблематично.
Однако у Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор), которая является уполномоченным органом по защите прав субъектов персональных данных, есть в арсенале гораздо более действенный способ воздействия на нарушителей – блокирование интернет-ресурса.
Таким образом, для иностранных компаний, обязанных локализовать базы данных, но не исполнивших данную обязанность, основной мерой ответственности за несоблюдение Закона о персональных данных является блокирование доступа к информации, обрабатываемой с нарушением законодательства о персональных данных.
Роскомнадзор также ведет реестр нарушителей прав субъектов персональных данных. В соответствии с ч. 5 ст. 15.5 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» основанием для внесения информации в реестр является нарушение оператором законодательства о персональных данных, подтвержденное вступившим в силу решением суда.
Рекомендации иностранным компаниям
В целях минимизации риска блокирования интернет-ресурса в России рекомендуется прежде всего оценить, отвечает ли иностранная организация критериям осуществления деятельности на территории России. Если налицо факторы, свидетельствующие о направленности деятельности такой организации на территорию России, следует не только локализовать базы данных, содержащие персональные данные граждан России, но и соблюдать иные требования законодательства о персональных данных, а также быть готовыми к эффективному взаимодействию с Роскомнадзором.
Локализация персональных данных в России
Компаниям для заключения договоров, размещения рекламы, использования аутсорсинга, принятия на работу сотрудников не обойтись без получения личных данных о гражданах.
С 2015 года организации должны использовать для локализации персональных данных отечественные серверы.
Разъяснение некоторых определений:
Локализация — сбор, систематизация и хранение конфиденциальной информации в базах данных на российской территории.
Персональные данные (ПДн) — любая информация о самом человеке и событиях его жизни:
База данных. Несмотря на множество существующих трактовок, смысл понятия сводится к упорядоченному массиву информации вне зависимости от типа материального носителя и способов обработки.
Правомерно сформированная конфиденциальная информация должна не только находиться, но и актуализироваться внутри страны.
Граждане. Законодательство о локализации принято с целью защитить конфиденциальную информацию о российских гражданах. Поэтому круг лиц, на которых распространяется защита закона — только граждане России.
На практике сложность может представлять определение гражданства лица. Даже если форма регистрации содержит графу о гражданстве, проверить действительность записи невозможно.
Оператор. Любое лицо, муниципальный или государственный орган, которые ведут сбор и обработку ПДн.
Сбор ПДн — деятельность, в ходе которой оператор получает личную информацию от гражданина либо через привлечённых посредников. Полученные данные используются для дальнейших операций с ними: хранения, обработки, передачи.
Условие о локализации появилась после принятия ФЗ от 21.07.2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных…».
Виды обработки конфиденциальных данных с учётом локализации внесены в закрытый перечень: запись, актуализация и иные способы.
Базы персональных данных должны формироваться и храниться в актуальном состоянии на территории России.
Ответственность за правонарушение установлена ч. 8 и 9 ст. 13.11 КоАП РФ. Наказание для юридических лиц и индивидуальных предпринимателей — штраф до шести миллионов рублей. За повторное нарушение — от шести до восемнадцати миллионов рублей.
Требование о локализации
Получение ПДн и последующее обновление с ними правомерны, если при этом задействованы базы данных, размещённые в России.
Обеспечивать локализацию не нужно, если случай предусмотрен ч. 1 ст. 6 Закона о персональных данных (для исполнения международных договоров; для участия в судопроизводстве).
Нет необходимости заниматься локализацией для:
Не нуждаются в локализации определённые операции с информацией: удаление, распространение, псевдонимизация и ряд других. Подобные действия можно проводить и локализовать за рубежом.
Если обработчик — иностранное лицо, действующее в интересах оператора на основе договора, требование о локализации обязательно только для оператора.
Обязаны ли зарубежные организации соблюдать локализацию?
Зарубежные предприятия обязаны подчиняться условию о локализации в случаях:
Иначе говоря, соблюдать локализацию персональных данных в РФ необходимо отечественным и зарубежным компаниям, если они действуют в пределах России.
Понять, что организация занимается предпринимательством в России, можно по признакам, которые указывают на отношение к РФ:
Допустима ли передача локализованных ПДн за рубеж?
Трансграничная передача данных при определённых условиях не нарушает закон. Однако первоначально информация должна собираться в базах данных, размещённых в РФ.
Законно перемещение ПДн в государства — стороны Конвенции Совета Европы о защите физических лиц и в государства, способные обеспечить адекватную защиту. Перечень таких государств утверждается РКН.
Параллельный ввод данных разрешён в определённых случаях, например, когда это предусмотрено международными договорённостями, в интересах правосудия и т. п.
Последствия нарушения компаниями условия о локализации
Хотя основная мера, к которой прибегает РКН — предупреждение и требование прекратить нарушение, компаниям, особенно международным, стоит тщательно проверять соблюдение требований локализации. В арсенале контролирующего органа имеются и более строгие меры — штрафы, блокировка сайта.
Важным для компаний судебным решением стало постановление Мосгорсуда от 4 августа 2016 года по жалобе ответчика LinkedIn на решение Таганского райсуда г. Москвы.
Это первое судебное решение по локализации с участием ответчика — транснациональной корпорации, не размещённой в России.
Суд установил, что организация собирала ПДн россиян без письменного согласия, умышленно игнорируя российские базы данных.
Разрешая дело, суд отклонил доводы LinkedIn о том, что она не является надлежащим ответчиком — операциями с ПДн занималается не LinkedIn Corporation, а LinkedIn Ireland Unlimited Company; организация формально не присутствует на российской территории, и по этой причине российская юрисдикция на неё не распространяется.
В итоге LinkedIn была заблокирована для русскоязычных пользователей.
Решение было обжаловано, однако Мосгорсуд в кассации поддержал указанное решение.
31 января 2020 года Роскомнадзор (РКН) возбудил административные дела против соцсетей Twitter и Facebook. Позднее компании были оштрафованы мировым судьёй Таганского района г. Москвы на четыре миллиона рублей каждая за несоблюдение условий локализации ПДн.
Решением Таганского райсуда города Москвы от 19 декабря 2018 года была признана незаконной деятельность интернет – ресурса «Умное голосование», запущенного А. Навальным (https://2019.vote/). Регистратор доменного имени
2019.vote — компания Gandi SAS (Французская Республика). На дату выхода настоящего материала, ресурс по указанному доменному имени отсутствует.
Суд, помимо прочего, посчитал, что услуги по предоставлению вычислительной мощности для размещения баз данных оказывались посредством серверных мощностей Cloudflare, Inc. (Соединенные Штаты Америки).
Судебное решение позволило интернет-ресурс и его копии включить в Реестр нарушителей прав субъектов персональных данных.
Чтобы не нарушить закон
РКН систематически проводит аудит российских и международных организаций, работающих в России. Проверки не избежали Microsoft, Samsung Electronics Rus Company, Вконтакте, Lamoda и другие организации.
Несоблюдение закона о локализации может привести не только к штрафу, но и к блокировке интернет-ресурса.
Следовать закону компании поможет понимание, что практически все базы данных можно разделить на две группы:
«Главная» — первичная база, всегда находится в РФ. Там же она актуализируется. И только потом может передаваться за границу.
Публикации
Локализация персональных данных россиян для иностранных компаний
Жердина eng_эж-Юрист_Локализация персональных данных россиян для иностранных компаний_11.2017
Жердина_эж-Юрист_Локализация персональных данных россиян для иностранных компаний_11.2017
Что такое персональные данные?
Закон о персональных данных дает весьма широкое определение, согласно которому персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Что означат локализация?
Локализация применительно к персональным данным означает использование баз данных, находящихся на территории Российской Федерации.
Когда возникает обязанность локализовать базы данных?
Согласно ч. 5 ст. 18 Закона о персональных данных «при сборе персональных данных, в том-числе посредством информационно-телекоммуникационной сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации». Из этого правила есть исключения, которые содержатся в ч. 1 ст. 6 Закона о персональных данных пунктах 2 (обработка для достижения целей, предусмотренных международным договором Российской Федерации, или для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей), 3 (обработка в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах), 4 (обработка при предоставлении государственных или муниципальных услуг) и 8 (обработка для осуществления профессиональной деятельности журналиста, законной деятельности СМИ, научной литературной творческой деятельности, если не нарушаются права и законные интересы субъекта персональных данных).
Таким образом, в соответствии с ч. 5 ст. 18 Закона о персональных данных обязанность локализовать базы данных возникает только в том случае (и при соблюдении остальных условий), если имеет место сбор персональных данных. Нет сбора – нет обязанности локализации.
Термин «сбор» не определен в Законе о персональных данных. Согласно разъяснениям (далее – Разъяснения(1) Министерства связи и массовых коммуникаций Российской Федерации под сбором следует понимать «целенаправленный процесс получения персональных данных оператором непосредственно от субъекта персональных данных либо через специально привлеченных для этого третьих лиц». Если персональные данные собрало иное лицо (например, работодатель), а в дальнейшем передало их для обработки иностранному лицу, у такого иностранного лица отсутствует обязанность локализовать базы данных, так как он не осуществлял сбор персональных данных.
Формулировка ч. 5 ст. 18 Закона о персональных данных говорит о сборе данных граждан РФ. При этом указанный Закон не поясняет, как должно определяться гражданство субъекта. Минкомсвязь России также предоставило данный вопрос оператору для самостоятельного решения. Вопрос определения гражданства рекомендуется отразить в документах оператора (например, в политике обработки персональных данных). Игнорирование данного вопроса, по мнению Минкомсвязи России, позволяет считать требование о локализации применимым ко всем персональным данным, сбор которых осуществлен на территории Российской Федерации.
Следует отметить, что даже согласие субъекта на обработку его персональных данных на зарубежных серверах не освобождает оператора от обязанности локализации. Такая позиция подтверждается Разъяснениями.
Распространяется ли требование локализации на иностранные компании?
Даже если иностранная компания ведет свою деятельность через Интернет без физического присутствия на территории России, на такую компанию могут распространяться требования локализации, если соблюден главный критерий – деятельность такой иностранной компании направлена на территорию РФ.
О направленности деятельности на территорию России, по мнению Минкомсвязи России, могут свидетельствовать:
– наличие русскоязычной версии интернет-сайта, созданной владельцем такого сайта или по его поручению иным лицом, за исключением функции автоматизированного переводчика, в сочетании со следующими условиями (одним их них):
а) возможность производить расчеты в российских рублях;
b) возможность доставки товара, оказания услуги или пользования цифровым контентом на территории России, а также иные случаи исполнения договора на территории Российской Федерации;
c) использование рекламы на русском языке, отсылающей к соответствующему интернет-сайту;
d) иные обстоятельства, явно свидетельствующие о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию.
Таким образом, если налицо факторы, свидетельствующие о направленности деятельности иностранной компании на территорию России, а иностранная компания через свой сайт осуществляет сбор персональных данных граждан Российской Федерации, такая иностранная компания обязана локализовать базы данных, содержащие персональные данные россиян (при условии неприменимости исключений, предусмотренных Законом о персональных данных и кратко обозначенных выше).
Отметим также, что если деятельность иностранной организации направлена на территорию России (в соответствии с указанными выше критериями), то к такой организации применимы не только требования локализации, но и иные требования Закона о персональных данных, в том числе требование о направлении уведомления в уполномоченный орган об обработке персональных данных, об издании документа, определяющего политику оператора в отношении обработки персональных данных, о назначении лица, ответственного за обработку персональных данных и т. д.
Ответственность за невыполнение локализации
Административные штрафы, предусмотренные указанными выше статьями, невелики по сравнению с европейскими штрафами. Так, максимальный штраф по ст. 13.11 КоАП РФ составляет всего 75 тыс. руб. (около 1100 евро на 01.09.2017). Кроме того, взыскать штраф с иностранной компании, не имеющей физического присутствия на территории Российской Федерации, весьма проблематично.
Однако у Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор), которая является уполномоченным органом по защите прав субъектов персональных данных, есть в арсенале гораздо более действенный способ воздействия на нарушителей – блокирование интернет-ресурса.
Таким образом, для иностранных компаний, обязанных локализовать базы данных, но не исполнивших данную обязанность, основной мерой ответственности за несоблюдение Закона о персональных данных является блокирование доступа к информации, обрабатываемой с нарушением законодательства о персональных данных.
Роскомнадзор также ведет реестр нарушителей прав субъектов персональных данных. В соответствии с ч. 5 ст. 15.5 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» основанием для внесения информации в реестр является нарушение оператором законодательства о персональных данных, подтвержденное вступившим в силу решением суда.
Рекомендации иностранным компаниям
В целях минимизации риска блокирования интернет-ресурса в России рекомендуется прежде всего оценить, отвечает ли иностранная организация критериям осуществления деятельности на территории России. Если налицо факторы, свидетельствующие о направленности деятельности такой организации на территорию России, следует не только локализовать базы данных, содержащие персональные данные граждан России, но и соблюдать иные требования законодательства о персональных данных, а также быть готовыми к эффективному взаимодействию с Роскомнадзором.
Локализация персональных данных
Ох, сколько уже было сказано о персональных данных! Интернет предпринимателей особенно взбудоражила история с локализацией. И до сих пор не совсем понятно, как и к кому этот 242 ФЗ применяется. Поэтому мы с коллегами из Б152 решили на примерах все разобрать и предложить варианты хранения данных, подходящие совершенно разным компаниям.
Напомним, что он вступил в силу 1 сентября 2015 года, хотя принят был еще летом 2014-го. О нем много разговоров, но судебной практики пока нет. Поэтому мы обратимся к опыту иностранных коллег.
Суть закона заключается в том, что отныне юридическим лицам, которые работают с персональными данными граждан РФ, запрещено собирать и хранить эти данные за рубежом – они обязаны локализовать базы данных на территории России. Закон этот вносит важные изменения в ФЗ № 152 «О персональных данных», вступивший в силу еще в 2007 году.
По части жестких требований к локализации ПДн мы далеко не одиноки. На территории других стран подобные законы действуют уже не один год.
Вьетнам
В 2013 году во Вьетнаме владельцев нескольких конкретных видов ресурсов (новостных, социальных сетей и онлайн-игр) обязали локализовать копии данных. Для чего это было сделано, нетрудно догадаться. Конечно же, для предоставления их компетентным органам и облегчения рассмотрения претензий пользователей. Запрета на параллельную обработку персональных данных за рубежом власти Вьетнама не ввели.
Китай
Китайцы подошли более сурово к вопросу трансграничной передачи данных, правда, в отношении только одного вида персональной информации. На два года опередив вьетнамцев, Китайский народный банк опубликовал Уведомление банковским институтам о защите персональной финансовой информации. Этот документ запретил кредитным организациям хранить, обрабатывать или анализировать за границей личную финансовую информацию, полученную внутри страны.
Индия
В том же 2011 году Министерство коммуникаций и информационных технологий Индии утвердило Правила по процедурам и практикам. Такое размытое название документа подразумевает под собой вполне конкретные цели, а именно – обеспечение безопасности специальных категорий персональных данных. В Правилах определены эти самые специальные категории, в список включили пароли, финансовую информацию (включая данные о банковском счете или кредитной карте), сведения о здоровье, сексуальной ориентации и биометрические данные.
Для этих категорий ПДн установили требование, согласно которому передача их любой другой компании или физическому лицу, находящемуся в Индии или в другом государстве, возможна только при условии обеспечения последними должного уровня защиты. И возможно все это только в рамках выполнения договора, заключенного с субъектом данных, или в случае получения от него согласия на передачу.
Малайзия
Финальной на сегодня глубиной нашего погружения в историю будет 2010 год, когда закон о защите персональных данных Малайзии ввел запрет на передачу ПДн за пределы страны. Осуществлять трансграничную передачу персональных данных можно лишь при соблюдении определенных условий и в ряде исключительных случаев. Например: согласие субъекта ПДн, необходимость исполнения договора между субъектом и оператором, необходимость исполнения контракта между оператором и третьим лицом, который был заключен по запросу или в интересах субъекта ПДн.
Однако подобные нововведения касаются не только азиатских стран. Запрет на передачу персональных данных за рубеж был введен в Австралии, правда, только в отношении данных о здоровье.
Вот только на фоне ФЗ-242 все вышеупомянутые законы и указания – детские сказки. Наш закон более суров и специфичен.
Больше всего споров возникает вокруг того, что этот закон запрещает хранение ПДн российских граждан за рубежом, но параллельное хранение, на первый взгляд, невозможно отследить. К тому же закон не содержит правовых инструментов, решающих эту проблему.
Минкомсвязи внес ясность в вопрос трансграничной передачи. Согласно их разъяснениям, ПДн граждан, изначально внесенные в базы данных на территории России, могут быть переданы за рубеж в соответствии с положением о трансграничной передаче данных. Также ведомство подтвердило возможность предоставления удаленного доступа к российским БД с территории других государств.
Перейдем к практике.
Судебных решений пока нет, слишком мало времени прошло. Пока мы можем лишь сказать, что изменения коснулись всех компаний, которые работают на территории РФ. Как им быть и что делать? Как строить теперь свою работу?
В первую очередь не надо паниковать. А что делать дальше – советуют наши коллеги из Б-152.
Итак, что делать если:
1. Вы иностранная компания, которая работает на территории РФ, в том числе через отдельное юридическое лицо или филиал.
Вариант 1. Передать данные за рубеж в обезличенном виде.
Это значит, что персональные данные будут находиться на серверах в России, но каждому физическому лицу будет присвоен ID, который и передается за рубеж. Таким образом персональные данные отделяются от субъекта, и их невозможно будет соотнести с конкретным человеком. Такой подход предлагает Microsoft для работы со своими сервисами и Microsoft Azure.
Вариант 2. Трансграничная передача данных с хранением первичной актуальной базы на территории России.
Как мы уже сказали, закон не запрещает обрабатывать данные за границей, но только в том случае, если база данных в РФ является наиболее полной и актуальной. То есть если сбор и хранение первоначально происходит в БД на территории России, то персональные данные можно передавать за рубеж и использовать там. На данный момент это один из самых востребованных способов локализации персональных данных.
И самый простой вариант его реализации – использование буферного сервера в России. В этом случае данные сначала попадают на этот сервер, и только потом – за рубеж. Позиция регуляторов позволяет это сделать, ведь соблюдено главное требование – первичная база данных находится в России.
Напомним, что базой данных, с точки зрения Минкомсвязи и Роскомнадзора, считаются в том числе бумажные базы. Например, это может быть шкаф с личными делами сотрудников в виде картотеки или таблица в excel.
2. Вы российская компания
Самый очевидный способ – перенести базы персональных данных, их обработку, сбор и хранение на территорию РФ, используя российские дата-центры.
Однако варианты с трансграничной передачей и обезличиванием вам тоже подойдут.
За нарушение норм локализации отдельной ответственности не предусмотрено. А значит, действует ст. 13.11 КоАП РФ, устанавливающая санкции за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных. Штраф за это совсем небольшой, для юридических лиц он составляет не более 10 тыс. руб.
Но это не единственная мера воздействия. Альтернативой является возможность внесения доменных имен и сетевых адресов в реестр нарушителей прав субъектов персональных данных. Что, пожалуй, более существенно, нежели штраф.
Особенности применения закона о локализации персональных данных на практике: рекомендации для бизнеса
Вот уже более девяти месяцев действует так называемый закон о локализации персональных данных (Федеральный закон от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»; далее – Закон № 242-ФЗ). Он обязывает операторов обеспечивать запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных россиян с использованием баз данных, находящихся на территории России. Первоначально требования закона были недостаточно точно конкретизированы, в результате чего у представителей бизнеса возникло множество вопросов. Однако большую их часть удалось разрешить еще до вступления Закона № 242-ФЗ в силу. Оставалось ждать, как принятый закон будет реализовываться на практике. И теперь, чуть меньше года спустя, можно выделить ряд наиболее распространенных проблем, с которыми столкнулся бизнес в процессе его применения.
Идентификация баз данных
До 1 сентября 2015 года компании уведомляли Роскомнадзор о категории персональных данных, перечне действий с ними, целях их обработки, обеспечении безопасности и др. С указанной даты у них появилась еще одна обязанность – сообщать о месте нахождения базы данных информации, содержащей персональные данные россиян (п. 10.1 ч. 3 ст. 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Все эти сведения должны быть отражены в уведомлении, подаваемом в Роскомнадзор.
Таким образом, теперь любой оператор персональных данных должен знать, какие именно информационные системы, содержащие базы данных, он использует и где они расположены.
Наталья Иващенко, к.ю.н., руководитель межотраслевой группы юридической компании «Пепеляев Групп» :
«До вступления в силу законодательного требования о локализации персональных данных Роскомнадзор на практике ограничивался документальной проверкой соблюдения требований Закона № 242-ФЗ. Поскольку требований к месту расположения персональных данных не предъявлялось, то компании сообщали о тех персональных данных, которые содержались во внутренних информационных системах, которые для них были очевидны (например, база данных сотрудников компании). После ужесточения регулирования компании начали задумываться о том, какие в принципе базы данных они используют, и в каком месте они расположены. Законодательные изменения послужили драйвером для инвентаризации используемых баз данных».
Чтобы идентифицировать базу данных для ее переноса на российские серверы, следует провести аудит ее содержимого. Если обнаружено наличие персональных данных россиян: ФИО, дата рождения, паспортные данные и т. д., эту информацию необходимо локализовать. При этом, как отмечает руководитель группы разработки IT-компании «AT Consulting» Михаил Алексеев, перенести базу данных можно как полностью, так и частично (когда речь идет о переносе не всей информации, а только находящихся в этой базе персональных данных). «Первый вариант наиболее прост и удобен в реализации, а также более экономически оправдан. Со вторым могут возникнуть технические проблемы, поскольку приложениям в этом случае придется работать сразу с двумя базами данных, – добавляет он. – В документах локализуемая база данных должна быть однозначно определена своим IP, портом и именем».
Если оператор не уведомит Роскомнадзор о тех базах данных, которые он использует при обработке персональных данных россиян, это может стать основанием для проверки со стороны регулятора. При этом, уточняет Наталья Иващенко, Роскомнадзор может не ограничиться лишь документальной проверкой, а провести опрос сотрудников, а на его основе осуществить проверку с использованием технических средств и выявить «незаявленные» базы данных. Это может повлечь за собой административную ответственность юридического лица в виде штрафа в размере до 10 тыс. руб. (ст. 13.11 КоАП РФ). При этом компания не освобождается от обязанности устранить выявленное нарушение.
Для соблюдения требований закона Наталья Иващенко рекомендует предпринять следующие шаги:
Использование персональных данных материнской компанией за рубежом
Многие иностранные холдинги сталкиваются с проблемой локализации, когда встает вопрос об использовании персональных данных россиян головной организацией, находящейся за пределами России. В данном случае важно понимать, какие именно действия осуществляются с персональными данными за рубежом. Как уточняет руководитель группы правовой защиты информации компании «Пепеляев Групп» Дмитрий Зыков, лишь «первоначальный» сбор персональных российских граждан за границей является нарушением закона (ч. 5 ст. 18 закона о персональных данных). Таким образом, соответствующая информация при этом обязательно должна быть локализована.
А вот персональные данные россиян, собранные представительством или филиалом этой организации в России, а потом переданные зарубежной материнской компании, вполне могут использоваться для дальнейшей обработки, хранения и т. д.
Передача персональных данных аутсорсинговой компании
В последнее время услуги аутсорсинга становятся все более востребованными. Однако передавая провайдеру определенные функции, ему нередко дают и доступ к персональным данным. Переходит ли при этом к аутсорсеру обязанность по их локализации? Ведь, по общему правилу, ответственным лицом за соблюдение требований о защите персональных данных он не является. В этом случае также важно определить, каким образом будет использоваться полученная информация.
Так, если компания-оператор персональных данных предоставляет аутсорсинговой организации только доступ к своим базам данных для выполнения определенных функций по договору (например, для осуществления рекламных рассылок), то в этом случае, подчеркивает Дмитрий Зыков, ответственность по защите персональных данных остается на самом заказчике. При этом он должен получить согласие субъекта персональных данных на использование сведений о нем третьими лицами по поручению.
Если же компания передает свою базу данных организации-аутсорсеру (например, в целях оказания бухгалтерских услуг, ведения кадрового делопроизводства и др.), в договоре необходимо отдельно прописать, что провайдер аутсорсинговых услуг принимает на себя обязательство по применению мер защиты полученных персональных данных и обеспечению конфиденциальности информации. В таком случае аутсорсинговая организация становится оператором персональных данных, который обязан, в том числе, соблюдать требования закона о локализации соответствующих данных.
Роскомнадзор обязал компании локализовать данные пользователей РФ. Кого касается требование и как избежать штрафов?
Руководитель отдела по защите персональных данных компании «Б-152» CIPP/E
Максим Зиновьев, руководитель отдела по защите персональных данных компании «Б-152» CIPP/E, рассказал о ситуации с локализацией персональных данных на территории Российской Федерации и дал рекомендации компаниям, которые используют иностранный софт в своей работе.
«Б-152» — компания, которая специализируется на защите персональных данных и приведением в соответствие ФЗ 152, GDPR и иным законам, регулирующим соблюдение ПДн в локальных юрисдикциях.
До 1 июля 2021 года Роскомнадзор обязал крупные международные компании, российские организации, социальные сети и веб-сервисы локализовать персональные данные пользователей РФ, однако требование федеральной службы некоторыми компаниями не было выполнено.
«В настоящее время более 600 иностранных компаний перенесли базы данных пользователей на территорию Российской Федерации», — отмечает Милош Вагнер, заместитель главы Роскомнадзора, курирующий вопросы по защите прав субъектов персональных данных. Зарубежные интернет-ресурсы в соответствии с российским законодательством обязаны хранить персональные данные граждан РФ только на территории России.
Данное требование прописано в ФЗ № 152 «О персональных данных». За их нарушение предусмотрен административный штраф для физических лиц — от 30 тыс. до 50 тыс. рублей, для должностных лиц — от 100 тыс. до 200 тыс. рублей, для юридических лиц — от 1 млн до 6 млн рублей, за повторное нарушение для юридических лиц — от 6 млн до 18 млн рублей.
Суммы штрафов, введенные регулятором, должны повлиять на ситуацию и обязать иностранные интернет-сервисы перенести базы данных с информацией о гражданах РФ на территорию России. Однако до сих пор непонятно, каким образом Роскомнадзор будет требовать оплаты российских штрафов иностранными предприятиями, у которых нет в нашей стране ни дочерних организаций, ни филиалов, ни представительств.
На какие компании распространяется требование о локализации?
Данные требования в первую очередь затронут глобальный бизнес. Транснациональные корпорации чаще всего размещают свое внутреннее программное обеспечение, а именно интрасети, корпоративные бухгалтерские системы, HR-системы, за пределами Российской Федерации. Это касается и иностранных веб-сервисов, которые решили не локализовывать системы в РФ.
Также закон о персональных данных повлияет на функционирование компаний, занимающихся разработкой веб-сервисов, которые изначально приняли решение размещать свои системы в юрисдикциях других государств, работая при этом с российской аудиторией.
Минкомсвязи выделил следующие факторы, определяющие направленность деятельности на территорию Российской Федерации:
Что будет с компаниями и их сервисами, не выполнившими требования законодательства РФ в области персональных данных?
Помимо штрафов, суммы которых указаны выше, Роскомнадзор может заблокировать сайт или ограничить обработку персональных данных в нелокализованных базах. В данный момент сотрудники регулятора проверяют локализацию сайта или интернет-сервиса с помощью выездных проверок, в процессе которых устанавливается реальное местонахождение базы данных, содержащей персональную информацию о гражданах РФ. Также для осуществления проверки по определению местонахождения базы данных используются внешние веб-сервисы, не принадлежащие Роскомнадзору.
Одним из первых известных примеров блокировки интернет-сервиса на территории России является приостановление работы соцсети деловых контактов LinkedIn. В связи с нарушением требования регулятора о хранении и обработке информации о пользователях, в том числе полученную через интернет-ресурсы, на территории Российской Федерации ИТ-продукт Microsoft был внесен Роскомнадзором в реестр нарушителей закона о персональных данных, доступ к сайту на территории РФ был заблокирован. Несмотря на долгие переговоры представителей международной компании и Роскомнадзора, доступ к сайту до сих пор заблокирован.
В настоящее время установленные суммы штрафов и ответственность в виде блокировки несут действительно деструктивный характер для бизнеса. Исходя из этого, организациям, которые используют информационные системы, находящиеся за пределами территории Российской Федерации, для хранения и обработки персональной информации о пользователях, следует задуматься об исполнении требований Роскомнадзора о локализации интернет-сервисов.
Проблемы, возникшие у российских компаний, использующих иностранные сервисы
Иностранные облачные и интернет-сервисы давно и активно используются российскими компаниями. Корпоративная почта, CRM, ERP и HR-системы, бухгалтерские системы, разрабатываемыми иностранными ИТ-гигантами, удобны в использовании, и пользователи отдают предпочтение именно зарубежным решениям для бизнеса нежели отечественным.
Но с появлением правовых нововведений в сфере обработки и хранения персональных данных некоторым российским компаниям, возможно, придется отказаться от использования иностранных сервисов. Однако в Российской Федерации отсутствуют аналоги зарубежных сервисов и систем, помогающих вести бизнес. В России нет ни качественного отечественного маркетингового софта, ни систем рассылок (таких как Unisender или Mailchimp), ни ERP-систем.
В связи с отсутствием отечественных аналогов не понятно, как делать массовую рассылку клиентам, как осуществлять взаимодействие между департаментами или собирать информацию в ERP-системах, которая имеет обширный функционал. Если в какой-то момент РКН решит заблокировать или ограничить доступ к иностранным сервисам и системам, предоставляющих подобные услуги, то работа многих компаний остановится.
Рассматривая переход на новую платформу, база данных которой располагается на территории России, стоит отметить, что большое количество данных при переходе может быть бесследно утеряно: невозможно одномоментно настроить функционал системы под конкретную задачу, и долгое время придется адаптировать новый рабочий сервис под бизнес-процесс.
Как выстраивать дальнейшую работу бизнеса?
Следует провести анализ информации по каждой системе (адреса баз данных, состав обрабатываемых данных, возможность изменения/добавления новых данных в систему) и составить карту потоков данных.
Если локализация отсутствует у внутренних информационных систем, к которым относятся кадровые и бухгалтерские системы, ERP и корпоративная электронная почта, то тут есть вероятность получения штрафа. Возможно, придется приостановить обработку персональной информации в них. Нарушения во внутренних системах можно выявить только в ходе очной проверки.
Внешние информационные системы в виде веб-сайтов могут заблокировать за невыполнение требований о локализации. На основе анализа сайта регулятор проверяет выполнение требований по хранению и обработке персональных данных: определить месторасположение интернет-сервиса очень просто. Меры систематического наблюдения Роскомнадзором за сайтами в настоящее время являются неотъемлемым видом контроля за информационными системами.
Не следует придерживаться ошибочного мнения, что требования о локализации затрагивают только предприятия, входящие в международные группы компаний, или филиалы иностранных корпораций. Правовые новеллы также распространяются на российские компании, использующие в процессе своей работы информационные системы для хранения и обработки персональных данных.
В юридической плоскости существует более девяти способов исполнения данных требований: например, обосновать, что данные не являются персональными, указать на то, что статус оператора — у иностранного юридического лица, переложить ответственности на подрядчика-провайдера информационной системы и так далее; в сфере информационных технологий — технологическая локализация; в аспекте бизнес-рисков можно принять риски и ничего не делать или вовсе отказаться от использования информационной системы.
Например, компания пользуется сервером для обработки информации о клиентах, принадлежащим международной корпорации. Международная компания еще не локализовала свои серверы на территории России. И чтобы продолжить пользоваться им первоочередно, нужно обрабатывать и обезличивать информацию о пользователях на серверах, расположенных на территории РФ, а затем отправлять на сервер, принадлежащей иностранной компании.
Однако к новым затратам на содержание дублирующих баз данных готов не каждый бизнес. И поэтому ряд российский организаций в связи с оптимизацией данных расходов будет вынужден отказаться от использования нелокализованных сервисов и искать решение на российском ИТ-рынке. Переход на отечественное ПО, интернет- и облачные сервисы может вызвать большие трудности для предпринимателей — им придется менять привычный алгоритм работы.
Таким образом, иностранным компаниям, работающим на российскую аудиторию, и отечественным компаниям, использующим в процессе работы иностранный софт, необходимо выполнить в ближайшем будущем все законодательные требования по локализации персональных данных граждан Российской Федерации. Основные рекомендации, что можно предпринять предпринимателям, чтобы не получить административный штраф:
Локализация обработки персональных данных граждан России: значение баз данных как объектов интеллектуальной собственности
1. В чем состоит требование о локализации обработки персональных данных граждан России и при каких условиях оно применяется к компаниям
Согласно части 5 статьи 18 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» («Закон о персональных данных») при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона о персональных данных:
При толковании приведенных правовых норм следует учитывать разъяснения Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации, доступные на сайте министерства, а также комментарий сотрудников Роскомнадзора, доступный на сайте уполномоченного органа.
Для правильного понимания требования о локализации важно обратить внимание на значение понятий, используемых в приведенных правовых нормах:
Таким образом, требование о локализации не распространяется на персональные данные, полученные оператором не в результате сбора персональных данных (например, на персональные данные, полученные от другого оператора).
Следовательно, требование о локализации не распространяется на данные, не являющиеся персональными данными (например, на анонимизированные данные).
Следовательно, требование о локализации не распространяется на другие операции с персональными данными, такие как использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Согласно разъяснениям Министерства цифрового развития требование о локализации применяется к иностранным компаниям, которые не имеют физического присутствия в России, если они осуществляют деятельность, направленную на территорию России. Например, о наличии направленности интернет-сайта на территорию Российской Федерации могут свидетельствовать следующие обстоятельства:
2. Реальные риски компаний, связанные с нарушением требования о локализации персональных данных
Реальные риски компаний, связанные с нарушением требования о локализации, лучше всего видны на примерах из правоприменительной практики:
По мнению суда, компания LinkedIn нарушила требование о локализации при сборе информации о пользователях социальной сети, а также гражданах Российской Федерации, не являющихся пользователями социальной сети.
Таким образом, до принятия законопроекта № 729516-7 о введении штрафов за нарушение требования о локализации компаниям, которые нарушают эти требования, грозят блокировки интернет-ресурсов, используемых для незаконной обработки данных, а также относительно небольшие штрафы за непредоставлении информации, подтверждающей выполнение требования о локализации. Как отмечалось ранее, если законопроект № 729516-7 будет принят, на нарушителей смогут налагаться штрафы до 18 миллионов рублей.
3. Как можно снизить издержки на выполнение требования о локализации персональных данных с учетом законодательства о базах данных как объектах интеллектуальной собственности
Некоторые особенности законодательства о базах данных как объектах интеллектуальной собственности могут помочь снизить издержки на выполнение требований о локализации.
Помимо прочего, данное требование предполагает, что оператор обязан обеспечить извлечение персональных данных с использованием базы данных, находящейся в России. Законодательство о персональных данных не определяет понятие «извлечение персональных данных». В связи с этим возможно утверждать, что под извлечением персональных данных на основе пункта 1 статьи 1334 ГК РФ следует понимать перенос всего содержания базы данных с персональными данными или существенной части составляющих ее персональных данных на другой информационный носитель с использованием любых технических средств и в любой форме. Статья 1334 ГК описывает исключительное право изготовителя базы данных как объекта смежных прав.
Такое толкование предполагает, что требование о локализации не распространяется на случаи переноса несущественной части персональных данных из базы данных с персональными данными, расположенной за рубежом, в другую базу данных, расположенную за рубежом. Указанные случаи могут иметь место в информационных системах персональных данных, предусматривающих их трансграничную передачу. Таким образом, приведенное толкование позволило бы компаниям снизить издержки на выполнение требования о локализации, поскольку оно значительно сужает понятие «извлечение персональных данных», на которое распространяется требование о локализации.
Следует отметить, что предложенное толкование не проверено правоприменительной практикой и может встретить неприятие со стороны Роскомнадзора и судов. В связи с этим при его использовании следует учитывать соответствующие риски.
Законы о локализации данных: обзор по странам
Глобальная ситуация с законами и постановлениями о защите данных
Рост цифровой трансформации организаций, обусловленный быстрым внедрением таких технологий, как облачные вычисления и аналитика данных, резко повысил важность внимание к этой области. Эта тенденция влияет как на традиционные отрасли экономики, так и на SaaS и электронную коммерцию.
Данные по праву считаются источником жизненной силы современной глобальной экономики, в то время как передача защищенных данных между странами становится все более сложной. Все больше и больше стран создают барьеры, которые делают этот процесс трудоемким и дорогостоящим из-за недавно принятых правил хранения данных.
Что такое локализация данных и как она меняет глобальный ландшафт в сфере данных
По мере того, как информационная эпоха прогрессирует, важность географического положения для конфиденциальности данных становится все более важной. В то время как международные правила конфиденциальности, такие как GDPR, или основные законы, такие как CCPA, становятся главными, существует бесчисленное множество мелких региональных законов, которые часто получают меньше внимания. Эти законы часто являются краеугольным камнем в планах глобального расширения многонациональных компаний.
Что такое резидентность данных? Это локализация регулируемых данных, таких как личная информация, в определенном регионе или стране. Это может быть как хранение данных, так и их обработка, где эти данные обрабатываются в соответствии с законодательством этого конкретного региона. В этом отношении InCountry является первым поставщиком услуг локализации данных, который позволяет вам внедрять свои сервисы во всем мире, поскольку мы надежно управляем вашими регулируемыми данными в более чем 90 странах.
Несмотря на значительные преимущества для компаний, потребителей и национальных экономик, которые возникают в результате цифровой трансформации, а также способность организаций легко обмениваться данными через границы, десятки стран воздвигли барьеры для трансграничных потоков данных. Среди них — требования к резидентности данных, которые ограничивают данные в пределах границ страны, или концепция, также известная как «локализация данных».
Локализация данных может быть явно обязательной по закону или быть результатом других ограничительных политик, которые делают невозможным передачу данных. Они требуют от компаний хранить копию данных локально, обрабатывать данные локально и требовать согласия отдельных лиц или правительства на передачу данных.
Давайте подробнее рассмотрим некоторые примеры требований к резидентности данных в различных странах.
Политика локализации данных в различгных странах мира
InCountry поддерживает глобальные компании, которые сталкиваются с ограничениями региональных законов о конфиденциальности. Партнерство с InCountry — самый быстрый способ соблюдать правила размещения данных и открывать новые территории.
Кликните на карту, чтобы получить информацию по странам
Требования к резидентности данных в ЕС
В Европейском союзе действует единый закон о защите данных, который называется GDPR (General Data Protection Regulation). Этот закон регулирует обработку персональных данных в ЕС и является важным компонентом законодательства ЕС о конфиденциальности и правах человека. Хотя в настоящее время в ЕС нет особых требований к локализации данных, недавнее признание недействительности Privacy Shield может означать, что они необходимы. Многие компании уже предприняли шаги для обеспечения того, чтобы их стратегии обработки данных обеспечивали локализацию регулируемых данных до того, как они покинут страны их происхождения.
Регулируемые типы данных
Персональные данные, данные о сотрудниках, финансовые данные, данные о здоровье, платежные данные.
Организации, которые получают и хранят любые регулируемые типы данных в соответствии с требованиями GDPR. Согласно GDPR, компании должны обеспечивать безопасность данных внутри ЕС, и если данные должны быть переданы за пределы UE, они могут быть переданы только в страны или организации, которые подписались на эквивалентную защиту конфиденциальности.
Как это работает с технической точки зрения? Трансфер данных означает, что исходные данные были перемещены на компьютер за пределами ЕС. Но это также может произойти, когда сотрудник за пределами ЕС получает доступ к данным — например, разработчик в Индии проверяет логи или инженер службы поддержки в Сингапуре помогает клиенту и просматривает его данные.
Эти манипуляции также считаются передачей данных (поскольку данные перемещаются в другую страну), поэтому в идеальном мире вы должны убедиться, что с данными взаимодействуют только граждане ЕС и машины из ЕС. И хранение, и обработка, и доступ из-за пределов ЕС будут считаться передачей. Это имеет серьезные последствия для вашей архитектуры обработки. Например, если у вас есть клиентская база в США и за рубежом, вам нужно будет хранить и обрабатывать данные отдельно и в нескольких странах.
Тем не менее, такая передача возможна, если вы соглашаетесь применять принципы защиты данных GDPR или использовать специального поставщика услуг резидентства данных, который помогает защитить данные во время передачи. (насколько правильно это высказывание?)
Полезные ссылки
Закон о локализации данных в России
Правила защиты данных для России содержатся в конкретном законодательстве, в частности в Законе о защите данных № 152-ФЗ от 27 июля 2006 г. (DPA), а также в различных нормативных актах, принятых для реализации DPA. Некоторые другие законы о хранении данных для России — это Закон об информации, информационных технологиях и защите информации № 149-ФЗ от 27 июля 2006 года, который устанавливает основные правила в отношении информации в целом и ее защиты.
Информация считается персональными данными, если она идентифицирует конкретного человека. Правила локализации применяются к компаниям только в том случае, если они намеренно выполняют определенные действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление и изменение) и извлечение персональных данных.
Тем не менее, российский закон о локализации данных не запрещает дальнейшую обработку персональных данных россиян за рубежом, если эти данные ранее были включены в российскую базу данных и обновляются там по мере необходимости.
Таким образом, использование, передача (распространение, предоставление) персональных данных, обезличивание, блокировка, удаление или уничтожение могут осуществляться с использованием баз данных за пределами России.
Регулируемые типы данных
Персональные данные, данные о сотрудниках, данные о здоровье (зеркальные копии разрешено хранить за пределами РФ).
Особенности платежных данных: все кредитные карты, в том числе международные, внутригосударственные транзакции проходят через Национальную платежную систему России. Внутренние транзакционные записи должны обрабатываться и храниться на территории Российской Федерации.
Закон о локализации данных в России — как это работает
Технически закон о локализации данных применяется ко всем российским компаниям, филиалам и представительствам иностранных корпораций, а также к другим юридическим лицам, зарегистрированным за пределами России, которые не имеют официального присутствия в России, но ведут бизнес на местном рынке.
Если что-либо из вышеперечисленного относится к вашей компании, она будет считаться оператором персональных данных и должна локализовать свои базы данных в Российской Федерации. Эти правовые требования применяются исключительно к положениям, принятым с 1 сентября 2015 года, поэтому персональные данные, собранные до этой даты, не нужно передавать в Россию.
Полезные ссылки
Регулирующие органы и правила
Роскомнадзор — официальный государственный орган, контролирующий выполнение компаниями своих обязанностей по локализации в России. Среди его функций — возможность запускать аудит вне офиса или на месте. Во время аудита госдепартамент обычно изучает уведомления, отправленные оператором, и может потребовать любую необходимую информацию — например, подтверждение места хранения баз данных.
Заключение
Соблюдение Закона о защите данных № 152 требует привлечения юристов, а также ИТ-специалистов для создания систем и политик работы с личными данными. Компаниям, которые уже ведут деятельность в России, необходимо пересмотреть содержание своих баз данных и системы работы с персональными данными. Очевидно, что некоторые базы данных необходимо перенести в Россию, и перенос их в облако не решит проблему, исходя из местной практики.
Законы о локализации данных в ОАЭ
В ОАЭ есть определенные подходы к управлению законами о локализации данных. Прежде всего, в ОАЭ нет всеобъемлющего закона о защите данных на федеральном уровне, однако существует ряд законов, регулирующих конфиденциальность и безопасность данных в этой стране.
Кроме того, в некоторых законах предусмотрены отраслевые положения о защите данных. Кроме того, в ОАЭ есть ряд особых экономических или отраслевых свободных зон, в трех из которых действуют особые законы о защите данных. Это Дубайский международный финансовый центр, Глобальный рынок Абу-Даби (ADGM) и Dubai Health Care City.
Регулирующие органы и правила в ОАЭ
Глобальный рынок Абу-Даби (ADGM) — это свободная зона и международный финансовый центр, основанный в столице ОАЭ. С 2015 года в нем действует положение о защите данных. Чтобы привести его определения в соответствие с международными стандартами и внести ясность по ряду пунктов, в этот закон были внесены определенные поправки в Правила о защите данных (поправки) 2018 года. ADGM также учредил Управление по защите данных (ODP) в декабре 2017 года, которому было поручено обеспечить соблюдение и контроль нормативных требований.
Еще одна свободная зона в ОАЭ — Дубайский международный финансовый центр (DIFC). С 2007 года в нем действует Закон о локализации данных, который в январе 2018 года был приведен в соответствие с международными стандартами. Управление уполномоченного по защите данных отвечает за защиту всей личной информации в DIFC.
Законы ОАЭ о локализации данных
Защита данных в ОАЭ регулируется федеральными законами и постановлениями Центрального банка ОАЭ и регулирующего органа по телекоммуникациям (TRA). Эти федеральные законы и постановления ОАЭ содержат различные положения, касающиеся конфиденциальности и защиты личных данных.
Некоторые из них:
Регулируемые типы данных
Персональные данные, финансовые данные, данные о здоровье, интернет вещей.
Ограничения на локализацию или передачу данных
Могут ли личные данные быть переданы третьим лицам внутри и / или за пределами ОАЭ? Согласно Уголовному кодексу (статья 379), это возможно, если заинтересованное лицо дало письменное согласие на такую передачу. Главное условие — получить согласие заинтересованного лица.
Однако для финансового типа данных ситуация иная — «Нормативно-правовая база для хранимых значений и электронных платежных систем» Центрального банка ОАЭ обязывает всех операторов платежных систем (PSP) хранить и хранить все данные пользователей и транзакций исключительно в пределах границ ОАЭ.
Ограничения существуют и в телекоммуникационной отрасли. Регулирующий орган электросвязи (TRA) посредством «Правил защиты потребителей, версия 1.3, выпущен 10 января 2017 года» требует, чтобы лицензиаты получали предварительное согласие подписчика, прежде чем делиться какой-либо «информацией подписчика» со своими аффилированными лицами и / или другими третьими сторонами, не имеющими прямого отношения оказание услуг связи, заказанных Абонентом.
Кроме того, лицензиаты должны гарантировать, что третьи стороны принимают все разумные и надлежащие меры для защиты конфиденциальности и безопасности Информации о подписчике, а обязательства третьей стороны должны выполняться в соответствии с договором, и они должны нести ответственность за защиту конфиденциальности и безопасности подписчика. Лицензиат обязан обеспечить принятие всех разумных мер для защиты конфиденциальности Информации о подписчике, которую он хранит в своих файлах в электронной или бумажной форме.
Заключение
Важно обеспечить, чтобы применяемые передовые методы и средства контроля за соответствием данных обеспечивали адекватный уровень регулируемой защиты данных. Организации должны теперь взглянуть на то, как они собирают, хранят и используют отредактированные данные в ОАЭ, и спросить себя, как они могут соблюдать местные законы. Это может включать использование специальных платформ локализации данных — таких как InCountry.
Законы о локализации данных во Вьетнаме
Законы о локализации данных во Вьетнаме имеют определенную специфику. В отличие от других стран, в этой стране нет единого всеобъемлющего закона о защите данных.
Вместо этого правила защиты данных в настоящее время распространены на различные законы и руководящие правовые документы. Среди них следующие: Гражданский кодекс (2015 г.), Закон об электронных транзакциях (2005 г.), Закон об информационных технологиях (2006 г.), Закон о защите прав потребителей (2010 г.), Закон о кибер-информационной безопасности (2015 г.), Закон о кибербезопасности. Закон (2018). В таких обстоятельствах компаниям иногда бывает сложно определить, применимы ли законы о защите данных к каждой конкретной ситуации.
Регулируемые типы данных
Личные данные, данные о здоровье, данные о сторудниках.
Законы Вьетнама о локализации данных
Ключевые принципы сбора, хранения, использования, обработки, раскрытия или передачи личной информации указаны в следующих основных законах и руководящих документах:
Стоит отметить, что каждый аспект и каждая отрасль во Вьетнаме могут иметь свои собственные соответствующие регулирующие документы. Другими словами, применимость юридических документов будет зависеть от фактического контекста каждого бизнес-кейса, например, профиль, здоровье, финансы или данные о сотрудниках могут подпадать под действие специальных правил защиты данных в зависимости от отрасли. В Трудовом кодексе 2012 года также существует специальное положение о личной информации сотрудников.
Какой самый важный вьетнамский правовой документ, регулирующий защиту данных? Это закон Вьетнама о кибербезопасности. В отличие от других законов о кибербезопасности, которые были вдохновлены GDPR ЕС, этот закон имеет сходство с Законом Китая о кибербезопасности, принятым в 2017 году. Он направлен на предоставление правительству возможности контролировать поток информации, а не на обеспечение прав на конфиденциальность данных для частных лиц. субъекты данных.
К другим законам, которые в настоящее время готовятся, относятся проект указа с подробным описанием ряда статей Закона о кибербезопасности, проект указа с подробным описанием порядка и процедур применения ряда мер обеспечения кибербезопасности и проект постановления премьер-министра об опубликовании перечня. информационных систем, важных для национальной безопасности.
Персональные данные и определения субъектов данных
На основании многих существующих юридических документов определения личных данных и субъектов данных обозначаются разными терминами, такими как «личная жизнь», «личная тайна», «личная информация», «информация о клиенте». Однако обычно их понимают следующим образом:
Каково определение организаций, которые должны соответствовать правилам локализации данных? Они также относительно широки и по-разному определяются в различных применимых законах. Как правило, это физические лица и организации, занимающиеся (т. Е. Сбор, хранение и обработка) персональных данных во Вьетнаме, в том числе иностранные организации.
Компании, которые работают с регулируемыми данными во Вьетнаме, должны соблюдать следующие обязательства:
Согласие субъекта данных должно быть получено перед сбором, совместным использованием, раскрытием или передачей личных данных третьему лицу. Если личные данные передаются и обрабатываются третьей стороной, то в договоре с третьей стороной должны быть положения, четко определяющие ответственность каждой стороны за соблюдение соответствующих положений о защите данных;
Подготовка уведомления о конфиденциальности и обеспечение легкого доступа к нему для субъектов данных (например, на веб-сайте);
Персональные данные должны быть удалены по запросу субъекта данных или по истечении срока использования;
Регулируемые данные должны храниться надежно и в соответствии с техническими стандартами, которые совместимы с международными стандартами (например, ISO / IEC), и правилами по обеспечению киберинформационной безопасности;
При необходимости по запросу компетентных местных властей может быть проведена проверка с целью контроля и обеспечения информационной безопасности.
Проблемы и полезные ссылки
При рассмотрении вопроса о принятии законов о локализации данных во Вьетнаме имеет смысл учитывать следующие факторы:
Законы Саудовской Аравии о резидентстве данных
Основной источник права в Королевстве Саудовская Аравия (КСА) в соответствии с принципами шариата. это исламские принципы, заимствованные из Священного Корана и Сунны. Помимо принципов шариата, закон в КСА состоит из светских постановлений, принятых правительством.
Регулируемые типы данных
Личные данные, данные о здоровье, данные о сотрудниках, финансовые данные.
Платформа облачных вычислений
Нормативно-правовая база облачных вычислений (CCF) KSA основана на передовом международном опыте и регулирует права и обязанности поставщиков облачных услуг (CSP), индивидуальных клиентов, государственных организаций и предприятий. CCF — это один из немногих примеров нормативной базы, относящейся к облачным технологиям, по всему миру и включает принципы защиты данных. Некоторые положения, такие как уведомление о нарушении безопасности, соответствуют подходу, принятому в ЕС, в то время как другие, такие как требование регистрации в классификации контента Комиссии по связи и информационным технологиям (CITC), относятся к KSA.
Некоторые из наиболее важных функций CCF с точки зрения защиты данных — это требования к безопасности облака, которых должны придерживаться поставщики облачных услуг. Информация о клиенте в облаке может быть подвержена различным уровням информационной безопасности в зависимости от требуемого уровня сохранения конфиденциальности, целостности и доступности информации. CSP также должны информировать любого клиента облачного сервиса по запросу о функциях информационной безопасности, предлагаемых CSP или применяемых к информации клиента облачного сервиса.
Полезные ссылки
Правительство принимает определенные светские правила, которые, хотя и не посвящены в целом конфиденциальности / защите данных, содержат конкретные положения, регулирующие право на неприкосновенность частной жизни и защиту данных в определенных контекстах.
Нормативная база облачных вычислений версии 2
Также могут существовать особые правила, применимые к определенным отраслям, например, к банковскому делу, которое регулируется Валютным управлением Саудовской Аравии (SAMA).
Более конкретные примеры правовых положений, касающихся конфиденциальности, можно найти в Законе о борьбе с киберпреступностью 2007 года (Королевский указ № M / 17) и новом Законе об электронной торговле 2019 года. Кроме того, отраслевые нормативные акты содержат обязательства по защите данных в отношении организаций. работает в сфере телекоммуникаций, ИТ / облачных услуг, здравоохранения и финансовых услуг.
Как работает услуга резидентства данных InCountry
Поскольку наш мир становится немного больше с каждым днем, возникают региональные различия: то, что может рассматриваться как приемлемое использование личной информации в Египте, может вызвать споры в Китае. Такой сервис, как InCountry, поддерживающий резидентность данных, позволяет адаптировать обработку к региональным ожиданиям с помощью внутренних решений по обработке.
InCountry может стать вашим окончательным решением в глобальной схеме соответствия. В настоящее время наши услуги доступны в более чем 90 странах. Наш сервис надежно управляет вашими регулируемыми данными — давайте посмотрим, как это происходит.
Типы данных, которые можно собирать и обрабатывать с помощью InCountry:
Персональные данные, данные о сотрудниках, финансовые данные, данные о здоровье, платежные данные.
Поскольку вы хотите масштабироваться в глобальном масштабе с минимальными усилиями и максимальной скоростью, наши решения специально созданы таким образом, чтобы их можно было внедрять быстро и с минимальными затратами, адаптируясь к необходимому количеству настроек и контроля.
В настоящее время InCountry предлагает 3 типа продуктов: InCountry REST API и SDK, InCountry Border, InCountry Single-Tenant.
Заключение
Мы в InCountry, что локализация данных как услуга является оптимальным решением для тех компаний, которые стремятся к глобальному масштабированию и должны соблюдать законы о хранении данных в разных странах. Работа с поставщиками услуг, такими как InCountry, помогает гарантировать, что информация будет собираться, обрабатываться и храниться в соответствии с различными треьованиями.
Готовы сделать следующий шаг по локализации данных?
Локализация персональных данных: когда иностранной компании нужно задуматься о соблюдении российских законов
В чем заключается обязанность локализации персональных данных в России?
Локализации персональных данных на территории России означает осуществление отдельных видов обработки персональных данных в базах данных, которые находятся на территории России. Эта обязанность касается таких видов обработки, как запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных.
По смыслу закона под базой данных понимается любой упорядоченный массив данных, независимо от вида материального носителя информации и используемых средств обработки (архивы, картотеки, электронные базы данных, в том числе таблицы в формате Excel, Word, содержащие персональные данные).
На какие иностранные компании распространяется обязанность?
Обязанность локализации в РФ определенных этапов обработки персональных данных распространяется на все иностранные компании, осуществляющие деятельность в России, в том числе те, которые работают без образования представительств и иных форм юр. лиц.
Что касается деятельности иностранных компаний в сети Интернет, то согласно разъяснениям Минцифры России, Роскомнадзора и мнениям судов, обязанность локализации возникает в случае направленности соответствующего Интернет-сайта на территорию РФ, о чем, в том числе может свидетельствовать:
Дополнительными критериями направленности сайта являются (обязательно наличие хотя бы одного):
Как передавать персональные данные российских граждан за рубеж?
Непосредственная передача персональных данных на сервер, находящийся за пределами РФ, нарушает требование о локализации.
Нарушением будет также параллельный ввод персональных данных в российскую информационную систему и информационную систему, расположенную за рубежом. Предоставление удаленного доступа к базам данных, находящихся на территории Российской Федерации, с территории другого государства не запрещается.
Для соблюдения законодательства необходимо организовать сбор и актуализацию персональных данных российских пользователей в базе данных, расположенной в РФ, в частности, не допускать первичный сбор персональных данных, например, из веб-форм, сразу на сервер, находящийся в иностранном государстве.
Последующая передача персональных данных из российской базы данных в зарубежную должна соответствовать требованиям к трансграничной передачи данных. Без особых условий и ограничений может осуществляться трансграничная передача персональных данных в страны-участницы Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или в страны, включенные Роскомнадзором в перечень обеспечивающих адекватную защиту прав субъектов персональных данных (туда включены, например, Израиль, Канада, Казахстан, Южная Корея, Сингапур, ЮАР, Япония и др.).
Если персональные данные передаются в иные страны (например, в Китай или США) необходимо получать отдельное согласие на трансграничную передачу персональных данных. Такое согласие можно не получать, в частности, когда персональные данные передаются для исполнения договора, стороной которого является субъект персональных данных.
Какая ответственность предусмотрена за несоблюдение требований?
Роскомнадзор осуществляет проверку соблюдения обязанности о локализации в отношении иностранных юр. лиц и в случае ее несоблюдения может инициировать судебный процесс по вопросу ограничения доступа к Интернет-ресурсу иностранного юр. лица, информация о таком Интернет-ресурсе будет включена в Реестр нарушителей прав субъектов персональных данных. Например, такое ограничение было применено в отношении компании LinkedIn Corporation.
За нарушение требования о локализации на иностранное юр. лицо может быть наложен административный штраф в размере от 1 до 6 млн. рублей (часть 8 статьи 13.11 Кодекса РФ об административных правонарушениях). Например, к такой ответственности уже были привлечены компании Twitter, Inc. и Facebook.
Локализация персональных данных не россиян
C 1 сентября 2015 года в Российской Федерации начало действовать положение о локализации хранения и отдельных процессов обработки персональных данных, определенное в Федеральном законе №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
1 сентября 2017 года Роскомнадзор опубликовал свой отчет о проделанной работе, по соблюдению законодательства, подробнее об этом мы писали в своей статье.
Ну, это у нас. А как в других странах? Эксперты Роскомнадзора провели свой анализ, на основании которого выложили в сеть свой «Аналитический обзор международного опыта по локализации баз данных, содержащих персональные данные граждан», кто желает ознакомиться с полным текстом документа, найдет его по ссылке.
Документ довольно обширен и содержит в себе как практику зарубежных стран, так и обзор правоприменения Российской практики. Мы же кратко пройдемся по зарубежным практикам.
Итак, участвующие в обзоре страны:
Австралия
В 2012 году в Австралии был принят закон, регулирующий вопросы предоставления доступа к электронным медицинским записям для соответствующих целей (Personally Controlled Electronic Health Records Act 2012 № 63), который, в том числе, определил обязанность лиц, имеющих доступ к информации, содержащейся в электронных медицинских записях граждан, обеспечить хранение такой информации на территории Австралии.
Так, согласно ч. 1 ст. 77 указанного Закона оператор системы, зарегистрированный оператор репозитория, зарегистрированный оператор портала или зарегистрированный контрактный поставщик услуг, который хранит записи для целей системы PCEHR, независимо от того, хранятся ли записи в других целях) или имеется доступ к информации в отношении таких записей, не должны:
В тоже время, ч. 2 ст. 77 Закона предусмотрено, что для целей эксплуатации или администрирования системы PCEHR Системный оператор вправе:
Вьетнам
В сентябре 2013 года во Вьетнаме вступил в силу Декрет об управлении, предоставлении и использовании интернет-услуг и информационном контенте в Интернет. Так, все компании, предоставляющие интернет-услуги должны иметь хотя бы один сервер с базами данных на территории Вьетнама.
В октябре 2013 года Министерство информации и связи распространило проект циркуляра, в котором представлены дополнительные данные о реализации Декрета, в том числе, содержащее требование, что в случае наличия требований к серверной системе, расположенной во Вьетнаме, вся серверная система, расположенная за пределами Вьетнама, должна отвечать этим требованиям.
Индонезия
В 2012 году правительство Индонезии потребовало, чтобы государственные учреждения, организации, участвующие в предоставлении государственных услуг, обеспечили создание центров обработки данных на территории Индонезии.
Положением п. 82 Эксплуатации электронной системы и операций предусмотрено, что электронный системный оператор в этих целях обязан также создать центр аварийного восстановления на индонезийской территории.
В 2014 году Министерство связи распространило требование о нахождении ЦОДов для аварийного восстановления для более широкого круга учреждений – любых учреждений и организаций, предоставляющих услуги с использованием информационных технологий.
Кроме того, электронный системный оператор должен обеспечить хранение данных о транзакциях в Индонезии. Требование хранить данные, возникающие в результате электронных транзакций между поставщиками электронных систем и их клиентами в Индонезии, применяется как к частным, так и к публичным поставщикам электронных систем в рамках GR 82.
Индия
Согласно Национальной политики обмена данными и доступности Индии все данные, собранные с использованием государственных ресурсов, должны храниться на территории Индии.
В феврале 2014 года Совет национальной безопасности Индии предложил обеспечить локализацию всех персональных данных граждан Индии на территории Индии.
Предполагалось, что всем провайдерам услуг электронной почты может быть поручено разместить свои серверы, собирающие данные индийцев на территории Индии. Также, инициатива Совета национальной безопасности запрещает создание зеркал таких серверов, если основной сервер храниться за рубежом.
В настоящее время, Закон о телекоммуникациях Индии предусматривает, что вся информация о клиентах и информация о пользователях (кроме сведений о роуминге) должна храниться на территории Индии, удаленный доступ к такой информации из-за пределов Индии запрещен.
Казахстан
В Казахстане Закон о персональных данных РК был принят в 2013 г., в 2015 г. в него были внесены изменения. Изменения 2015 г. были связаны с введением требования о хранении (локализации) персональных данных в Казахстане. Требование хранить персональные данные в Казахстане вступило в силу 1 января 2016 г.
Требование локализации персональных данных требует только хранить базы данных с персональными данными на территории РК.
В законе отсутствует требование сохранить персональные данные сначала в Казахстане, а потом передавать их в другие страны. Соответственно, сбор, обработка, использование и внесение изменений в базу данных могут производиться сначала за рубежом с последующим сохранением базы данных с персональными данными на территории РК. В таком случае компании должны быть готовы представить доказательства того, что база данных с персональными данными была в последующем сохранена в Казахстане.
В случае первоначального сохранения данных за рубежом, важно обеспечить синхронизацию баз данных за рубежом и в Казахстане. Частота синхронизации не определена в Законе о персональных данных.
Персональные данные в Казахстане должны хранить, как владельцы баз данных, так и операторы баз данных.
Канада
В Канаде в системе федерального законодательства отсутствует требование по локализации баз персональных данных граждан на территории Канады. Однако, такое требование существует на уровне двух провинций – Новой Шотландии и Британской Колумбии.
До декабря 2017 года в Британской Колумбии существовал Закон о свободе информации и защите частной жизни. Согласно ст. 30.1. Закона общественный орган должен обеспечить, чтобы хранение личной информации, находящейся в распоряжении такого органа, а также доступ к ней, осуществлялись только на территории Канады. При этом, субъект данных мог дать согласие на хранение или использование личной информации в другой юрисдикции.
В Новой Шотландии вопросы хранения баз данных, содержащих персональные данные, урегулированы положениями Закона о защите личной информации. Законодательные положения об обеспечении локализации в Новой Шотландии идентичны положениям (ст. 5(1)), существовавшим в Британской Колумбии.
Китай
В 2011 году Народный банк Китая опубликовал Уведомление, посвященное необходимости повышения уровни защиты личной финансовой информации.
Под личной финансовой информацией в Китае понимают персональную информацию (имя, пол, национальность, фотография), информацию о личной собственности, информацию о личном счете, личную кредитную информацию, информацию о транзакциях, иная производная информация (информация, полученная путем анализа первичной информации), другая личная информация, ставая известная Банку в ходе делового сотрудничества, договорных отношений.
В Уведомлении содержится запрет Банкам хранить, обрабатывать или анализировать за пределами Китая любую личную финансовую информацию, которая была собрана в Китае, или предоставлять личную финансовую информацию, собранную в Китае, оффшорному предприятию.
Нарушение требований, содержащихся в Уведомлении, дает право Народному Банку Китая приказать соответствующему Банку исправить свое несоответствие и потребовать от Банка наказать ответственных должностных лиц.
Кроме того, с 1 июня 2017 года вступил в силу Закон о кибербезопасности, который установил новые ограничения для операторов ключевой информационной инфраструктуры, операторов сетей и поставщиков сетевых продуктов и услуг.
Так, статьей 37 Закона о кибербезопасности предусмотрено, что операторы критической информационной инфраструктуры должны хранить на материковой территории КНР собранную или произведенную ими персональную информацию на материковой части Китая. Однако, когда из-за требований бизнеса действительно необходимо обеспечить хранение персональной информации за пределами материка, операторы критической информационной инфраструктуры должны следовать мерам, совместно сформулированным государственными сетевыми информационными департаментами и соответствующими департаментами Государственного совета для проведения оценки безопасности; но в тех случаях, когда законы и административные нормы предусматривают иное, необходимо следовать этим положениям.
Если операторы критической информационной инфраструктуры нарушают статью 37 Закона путем хранения данных за пределами материковой территории или предоставляют сетевые данные отдельным лицам или организациям за пределами материковой территории без проведения оценки безопасности, соответствующий компетентный отдел дает предупреждения, конфисковывает незаконно полученную выгоду, налагает штрафы в размере от 50 000 до 500 000 юаней (9,74 руб. за 1 юань по курсу ЦБ РФ на 29.05.2018) и может вынести постановление о временном приостановлении операций, приостановлении деятельности для устранения нарушений, прекратить деятельность веб-сайтов, аннулировать соответствующие разрешения на деятельность. Лица, осуществляющие контроль соблюдения требований законодательства, ответственные лица, в случае выявления нарушения могут быть оштрафованы на сумму от 10000 до 100000 юаней.
Также, требование локализации касается баз данных, содержащих медицинские сведения. Так, Мерами по управлению информацией о здоровье населения, принятыми Государственным комитетом по делам здравоохранения и планового деторождения КНР, предусмотрено, что медицинские учреждения, организации в сфере социального обеспечения (социальные службы), учреждения по планированию семьи не могут хранить информацию о здоровье населения на серверах за границей или иным образом размещать или арендовать зарубежные серверы.
Относительно деятельности иностранных компаний на территории Китая отметим, что в адрес их представительств на территории Китая периодически направляется уведомление с требованием локализовать хранение персональных данных на территории Китая. В случае отказа, интернет-сервисы указанных компаний временно блокируются на основании решения уполномоченного органа исполнительной власти.
Малайзия
В 2010 году, закон о защите персональных данных Малайзии ввел запрет на передачу персональных данных за пределы страны. Трансграничная передача персональных данных возможна лишь при соблюдении определенных условий и в ряде исключительных случаев. Должно быть получено согласие субъекта персональных данных, если есть необходимость исполнения договора между субъектом и оператором, необходимость исполнения контракта между оператором и третьим лицом, который был заключен по запросу или в интересах субъекта персональных данных.
Нигерия
В Нигерии в 2013 году Национальное агентство по развитию информационных технологий выпустило Руководство по развитию нигерийского контента в области информационных и коммуникационных технологий. Согласно положениям Руководства, организации, осуществляющие действия с данными и информацией, позволяющей идентифицировать гражданина, должны обеспечить локализацию баз таких данных на территории страны.
Вместо послесловия
Как видим из примеров законодательств других стран, мы не единственные, кто занимается в той или иной мере локализацией. Но, как всегда, у нас свой характер законодательства. В отличие от приведенных примеров, у нас законом предусмотрено, что свое действие закон распространяет даже на организации, не имеющие представительств в РФ. Вспомним здесь комментарий Минкомсвязи:
«… обязанности по локализации отдельных процессов обработки персональных данных распространяются на иностранных операторов при условии осуществления ими направленной деятельности на территорию Российской Федерации и отсутствии исключений, прямо указанных в ч. 5 ст. 18 ФЗ «О персональных данных» (например, международного договора, для достижения целей которого осуществляется обработка).»
На страже безопасности, или Локализация персональных данных
Наделавший немало шума закон о локализации персональных данных россиян вступил в силу с 1 сентября и действует уже два месяца (Федеральный закон от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»; далее – Закон № 242-ФЗ). Закон требует, чтобы при сборе персональных данных, в том числе посредством Интернета, оператор обеспечивал запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных россиян с использованием баз данных, находящихся на территории России (ст. 2 Закона № 242-ФЗ, ч. 5 ст. 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Однако исполнить это требование оказалось не так просто, поскольку многие нюансы законодатель не уточнил, что вызвало немало вопросов у представителей бизнеса.
Тем не менее, к моменту вступления Закона № 242-ФЗ в силу, многие из этих вопросов нашли ответ – во многом этому поспособствовали размещенное на сайте Минкомсвязи России официальное разъяснение ведомства, а также активная позиция юристов. Дискуссия продолжается и по сей день – так, ряд наиболее значимых вопросов был затронут экспертами на конференции, организованной газетой The Moscow Times в конце сентября. Разберемся в наиболее важных выводах и рекомендациях, высказанных специалистами.
Прежде чем углубляться в вопросы реализации этого закона, председатель Временной комиссии Совета Федерации по развитию информационного общества Людмила Бокова призывает понять, какие именно цели преследует этот закон. «Нужно понимать актуальность и необходимость этого документа, так как только в условиях нахождения персональных данных российских граждан на территории своей страны государство может гарантировать их надлежащую защиту», – заявляет она. Вместе с тем Людмила Бокова отмечает, что любой правовой акт должен отвечать принципу правовой определенности, поскольку только в этом случае правовая мера будет действительно эффективной и способной достичь той цели, которая преследуется в законе. Однако еще до вступления в силу Закона № 242-ФЗ стало ясно, что он данному требованию не отвечает, это и вызвало потребность в разъяснении целого ряда нюансов, связанных с применением этого акта.
Что такое база данных?
В тексте Закона № 242-ФЗ не уточнено, какие именно базы данных, содержащие персональные данные россиян, должны находиться на территории нашей страны. В связи с этим возник закономерный вопрос, может ли база данных быть представлена в любой форме, в том числе бумажной, или все-таки к ней предъявляются какие-то объективные требования?
Отвечая на него, Минкомсвязь России напоминает, что базой данных является совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью ЭВМ (абз. 2 ч. 2 ст. 1260 ГК РФ). В связи с этим ведомство уточняет, что с помощью ЭВМ одновременно должны быть обеспечены поиск и любая обработка соответствующей информации, что представляется возможным только при условии наличия данных в электронной форме.
Кому необходимо выполнять требования закона?
Если руководствоваться положениями Закона 242-ФЗ, очевидно, что его требования адресованы оператору персональных данных, однако руководитель группы правовой защиты информации юридической компании «Пепеляев Групп» Дмитрий Зыков отмечает, что перечень таких лиц гораздо шире и, хотя прямо в тексте закона это не указано, по его смыслу требования о локализации обязаны соблюдать следующие субъекты.
Оператор персональных данных (например, работодатель) – то есть лицо, самостоятельно или совместно с другими организующее и/или осуществляющее обработку персональных данных, а также определяющее цели такой обработки, состав персональных данных и действия, с ними совершаемые (п. 2 ст. 3 закона о персональных данных). Отдельно стоит упомянуть об иностранных организациях, чьи представительства действуют на территории России. Как правило, персональные данные работников таких представительств направляются в головную компанию, находящуюся за рубежом. Но несмотря на то, что такая ситуация встречается достаточно часто, большинство руководителей не учитывают один существенный нюанс – операторами персональных данных иностранные компании в этом случае не являются.
Дмитрий Зыков, руководитель группы правовой защиты информации юридической компании «Пепеляев Групп»:
«Лицом, которое в силу закона обязано осуществлять обработку этих данных является исключительно работодатель, то есть то лицо, с которым соответствующий работник заключил трудовой договор. Вопрос: на каком основании персональные данные передаются в головную иностранную организацию? Точно не в рамках осуществления трудовых отношений между российским юридическим лицом и российским гражданином. Для каких целей эта передача осуществляется? Чаще всего такая передача осуществляется исключительно в интересах самого иностранного юридического лица – для статистических целей, аналитики, даже для принятия решений по кадровым перемещениям российских работников в рамках российского юридического лица. Но по закону прямого подчинения российского работника иностранному юридическому лицу нет. Более того, если мы говорим, что иностранное юридическое лицо действует в интересах российского юридического лица, то у нас опять же по закону требуется поручение российского юридического лица третьей стороне осуществить какие-либо действия с персональными данными. И появляется еще одна категория лиц, которые участвуют в обработке персональных данных – лицо, не являющееся оператором, но которое осуществляет соответствующую обработку (ч. 3 ст. 6 закона о персональных данных). И в этом случае так называемым заказчиком должно быть выдано исполнителю-обработчику соответствующее поручение».
Обладатель информации (например, компания, обладающая сведениями о коммерческой тайне контрагента) – то есть лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать к ней доступ (п. 5 ст. 2 Федерального закона от от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; далее – закон об информации).
Оператор операционной системы (например, пейролл-провайдеры, которые осуществляют обработку персональных данных работников в целях администрирования и расчетов с персоналом компании) – гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных, то есть собственник технических средств, используемых для обработки содержащейся в базах данных информации или лицо, с которым он заключил договор об эксплуатации информационной системы (п. 12 ст. 2, ч. 2 ст. 13 закона об информации). Под это понятие подпадают не только операторы персональных данных, но и лица, которые помогают им заниматься теми или иными вопросами.
Получается, что требования по локализации персональных данных должно выполнять любое лицо, которое имеет на основании закона право так или иначе распоряжаться соответствующей информацией вне зависимости от того, считается ли он оператором персональных данных или нет.
Обязательно ли локализовать иностранные базы данных, если персональные данные уже локализованы в России?
Из текста Закона № 242-ФЗ не вполне ясно, распространяется ли требование о локализации на случаи внесения персональных данных россиян в зарубежные базы данных, если эти данные ранее уже были локализованы. Этот вопрос актуален, прежде всего, для тех операторов, которые задействуют в своей деятельности несколько баз данных, в том числе зарубежных. В том случае, когда персональные данные уже обработаны ими на территории России, локализация каждой из таких иностранных баз данных приведет к существенному и необоснованному увеличению затрат.
В связи с этим Минкомсвязь России уточняет, если в отношении определенного набора персональных данных ранее уже были выполнены требования закона, то повторная локализация таких данных не требуется, поскольку цели закона достигнуты. Соответственно, если персональные данные были при сборе записаны в базу данных, расположенную на территории России, то впоследствии они могут вноситься оператором в принадлежащую ему электронную базу данных, находящуюся за пределами нашей страны.
Допускается ли параллельная обработка персональных данных россиян с помощью российских и зарубежных баз данных одновременно?
Минкомсвязь России придерживается мнения, что обработка персональных данных россиян на территории другого государства возможна, но только если:
такая деятельность подпадает под предусмотренные законом случаи – например, для достижения целей, предусмотренных международным договором, для осуществления правосудия, для исполнения полномочий органов государственной власти, для осуществления профессиональной деятельности журналиста и др. (п. 2-4, п. 8 ч. 1 ст. 6, ч. 5 ст. 18 закона о персональных данных);
на территории России находятся базы данных, в которых содержится равный или больший находящегося за пределами нашей страны объем персональных данных. Таким образом, если персональные данные субъекта претерпели какие-либо изменения, то уточнения необходимо внести, прежде всего, в информацию, содержащуюся в российских базах данных, и уже потом, если это необходимо, актуализировать ее за рубежом.
Допустима ли трансграничная передача персональных данных?
Поскольку Закон № 242-ФЗ не затронул положений о трансграничной передаче данных, Минкомсвязь России делает вывод, что она возможна. Персональные данные граждан, первоначально внесенные в базу данных на территории нашей страны, могут, как отметило ведомство, далее передаваться в базы данных, расположенные за пределами России с соблюдением положений о трансграничной передаче данных. Такие «вторичные» базы данных могут использоваться, в частности, для целей резервного копирования, оказания услуг по осуществлению рекламных рассылок и пр. Более того, Минкомсвязь России отдельно подчеркнула, что предоставление удаленного доступа к российским базам данных с территории другого государства не запрещается.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу, обеспечивающим адекватную защиту прав субъектов персональных данных (ст. 3, ст. 12 закона о персональных данных).
Как определить, что персональные данные принадлежат россиянам?
Далеко не все операторы используют конкретизирующую информацию, которая могла бы подтвердить гражданство субъекта (паспортные или иные данные). Поэтому существует риск того, что ограничить круг лиц, чьи персональные данные должны быть локализованы, гражданами России не удастся.
Разрешая этот вопрос, Минкомсвязь России отметила, что поскольку вопрос о порядке определения гражданства субъектов персональных данных в нормативном порядке не урегулирован, операторы могут решать данный вопрос самостоятельно, а если этот вопрос оператором не решен, то применение требований Закона № 242-ФЗ возможно ко всем персональным данным, сбор которых был осуществлен на территории России.
На данный момент все наиболее существенные вопросы, связанные с локализацией персональных данных россиян, действительно нашли свои ответы. «Большая часть того, что было необходимо бизнесу для комфортного ведения своей деятельности, было учтено. Так или иначе я отношу эту работу к маленькой, но победе. Понимание и ясность в исполнении закона сдвинулось в нашу пользу со стороны запретительной и непонятной в сторону, очевидную к исполнению», – отмечает Интернет-омбудсмен Дмитрий Мариничев.
Однако юристы советуют не воспринимать позицию Минкомсвязи России как панацею. «Насколько комментарии ведомства можно считать официальными и подлежащими применению, остается вопросом, потому что так или иначе эти разъяснения не имеют законной силы – силы, равной закону. И со временем толкование закона может меняться. Надеемся, что в ближайшие полгода практика применения закона сложится, и уже можно будет понимать, насколько успешно закон будет функционировать», – рассуждает Дмитрий Зыков.
Надежда, что в будущем разъяснения примут характер закона, есть – работа над толкованием Закона № 242-ФЗ продолжается, и наиболее актуальные проблемы его применения становятся предметом обсуждения Временной комиссии Совета Федерации по развитию информационного общества. «На площадке комиссии мы стараемся найти ответы на все вопросы, чтобы оператору было понятнее, что делать, – делится Людмила Бокова. – И вполне возможно, что в дальнейшем сформулированные выводы найдут свое отражение в нормативном регулировании».